Thursday, August 23, 2007

[Bahasa Indonesia] How To : Melindungi FTP Server Mikrotik Anda

How To : Melindungi FTP Server Mikrotik Anda


Artikel singkat ini akan menjelaskan cara untuk melindungi FTP Server Mikrotik anda dari serangan Brute Force.



Service FTP Server pada Router Mikrotik kita kadang2 tentunya kita perlu jalankan untuk keperluan-keperluan administrasi.

Tapi, bagaimana bila jika FTP sedang running, ada pihak-pihak yang ingin memanfaatkan FTP pada Router Mikrotik untuk mencoba hal-hal yang membahayakan Jaringan kita. Cara yang paling umum dilakukan untuk hal ini biasanya adalah dengan menggunakan metode Brute Force Attack.

Brute force attack adalah sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. (Source : Wikipedia )

Hal yang harus dilakukan untuk mencegah hal diatas sebenarnya cukup sederhana. Hanya butuh 3 rule di firewall.

/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,9,dst-address/1m

#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content=530 Login incorrect address-list=ftp_blacklist address-list-timeout=3h


Ingat, urutan diatas harus tepat...tidak boleh tertukar-tukar...


Mari kita bahas satu persatu dari rule-rule diatas...



Code:
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop


Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1 (silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya)....bila cocok / positif maka action drop akan dilakukan...

Bila ada yang melakukan brute force attack untuk pertama kalinya, rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat, maka akan langsung di Drop.



Code:
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,9,dst-address/1m

Rule ini bertindak sebagai pengawas, apakah dari IP tertentu telah melakukan Login secara Incorrect sebanyak 9 kali dalam jangka waktu 1 menit....Jadi bila masih dalam batasan 9 kali dalam 1 menit maka masih akan diaccept...Nah apabila telah melampaui 9 kali, maka rule ini tidak akan apply dan akan lanjut ke rule setelahnya yakni...




Code:
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content=530 Login incorrect address-list=blacklist address-list-timeout=3h


Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama ftp_blacklist...hanya itu yang dilakukan rule ini...

Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang Pertama....


Sekian artikel singkat ini...Selamat mencoba

2 comments:

Acid said...

Wah, keren juga..saya masih baru di dunia mikrotik ini. Yang ingin saya tanyakan, apakah perlu sebuah dedicated server sendiri yah ? bisa built-in di server yang menggunakan windows tidak ?

Mampir juga ke blog kami yach... ;)

Unknown said...

Sangat membantu infonya...

mungkin yang masih jadi pertanyaan saya adalah ether1 itu ethernet yang mengarah ke lokal atau ke public...

Trims atas infonya...